ビッグデータで使われるNoSQLとセキュリティ課題：ビッグデータ利活用と問題解決のいま（2/3 ページ）

[笹原英司，ITmedia]

ビッグデータの進化に対するセキュリティ機能の遅れ

　歴史と実績のあるRDBに比較べてNoSQLは、パフォーマンスや拡張性を重視したアーキテクチャ開発のスピードに、セキュリティ面の機能強化が追い付いていない。例えば、NoSQLではデータの整合性の要件を緩めた分、処理の完全性を保証することが難しく、またHTTPベースの認証機能や通信プロトコルへの依存度が高いだけに、クロスサイトスクリプティングやインジェクション攻撃などを招きやすい。

　承認の手法もNoSQLの製品／ソリューションによって異なるため、ユーザーのロールやセキュリティグループを定義する「ロールベースアクセス制御」（RBAC）機能の適用が難しい。これらNoSQL固有のセキュリティ課題への対策は、クラウドサービスプロバイダーがAaaSを企業ユーザーへ提供する場合は、特に重要だ。

　NoSQLが得意とするリアルタイム高速処理機能を維持しつつ、結果の完全性を保証するためには、サードパーティのミドルウェア（例：認証／承認／アクセス制御機能）やハードウェア（例：アプライアンスベースの暗号化／復号機能）と組み合わせた運用管理を行い、最適化を図る必要がある。このようなセキュリティ機能をOSなどインフラ寄りの下位レイヤに組み込むためには、IaaS（Infrastructure as a Service）やPaaS（Platform as a Service）との密な連携も不可欠である。

　さらに、HTTPに基づいてクライアントとの通信を確立するNoSQLでは、セキュアなハッシュ化アルゴリズムの利用、ログ分析手法の適用／統合など、Webサービスの運用管理で培われたソリューションを進化／拡大させることが、「NoSQLインジェクション攻撃」への対処策となる。

　また、NoSQLを利用するAaaSでは機微なパーソナルデータが含まれることが多く、IaaSやPaaSも含めたマルチレイヤの観点から厳格な運用／モニタリング管理体制を整備することが求められる。AaaSを提供するクラウド事業者がどのような契約管理体制の下で運用業務を実施しているかにより、ユーザー企業側の情報セキュリティ管理者や個人情報保護管理者、データベース管理者、データサイエンティストがコントロールできる領域・範囲も変わる。利用規約やSLAの内容についても注意が必要だ。

ソーシャルメディアの成熟で高まるセキュリティリスク

　以下の図2は、本連載の第3回で取り上げたソーシャルメディア利活用の成熟度とビッグデータを構成する容量（Volume）、種類（Variety）、速度（Velocity）の関係（3V）を例示したものである。

　ソーシャルメディアの成熟度がステップアップするにつれて、ビッグデータに占める非構造化データの比率が高まり、リアルタイムな高速処理へのニーズも高まる。そこでNoSQLの技術を活用すれば、突発的にアクセスが増減したり、様々な種類のデータがやりとりされたりする状況下でも柔軟に対応することが可能となる。

図2：ソーシャルメディア利活用の成熟度とビッグデータの3Vの関係、出典：NPOヘルスケアクラウド研究会（2014年6月）

　しかしながら、ステークホルダーやメディア同士の関係性が密になった段階においてNoSQLに起因するデータ漏えい事故が発覚した場合、パートナー企業や外部クラウドサービス事業者の環境も含めたバリューチェーン全体に影響し、インシデント対応策や情報開示のプロセスが複雑化する。NoSQLベースでソーシャルデータを分析するユーザー企業ではシステムの導入初期よりも、ソーシャルメディア利活用が進展してデータの利活用も本格化する運用段階の方が、セキュリティリスクが高くなる。この点を認識しておくべきだ。